Az elmúlt hetekben sorra jelennek meg híradások a koronavírus megfékezése érdekében fejlesztett vagy tervezett applikációkról. A cél az, hogy olyan megoldások kerüljenek kialakításra, amelyek segíthetnek a vírus terjedésének lassításában azáltal, hogy értesítést küldenek abban az esetben, ha valaki igazolt vírushordozóval került kapcsolatba, még akkor is, ha a felek teljesen ismeretlenek egymás számára (pl. egymás mellett álltak egy tömegközlekedési járművön, vagy a boltban). Az egyik gyakran emlegetett alkalmazás a szingapúri TraceTogether, de újra és újra hivatkozott példa Dél-Korea is, ahol a vírus elleni küzdelemben mobil applikációt is alkalmaznak. A járványhelyzetre tekintettel még az Apple és a Google is együttműködésbe kezdett a koronavírus nyomon követésére szolgáló applikációk fejlesztésének elősegítése érdekében, az operációs rendszer szintjén megjelenő megoldások kialakításával. (Az Apple és Google együttműködése kapcsán a brit adatvédelmi hatóság már ki is adott egy véleményt, amelyről itt írtam részletesebben.)   

Európában is egyre többet lehet olvasni, hallani applikációk fejlesztéséről, amelyek a korlátozó intézkedések enyhítése során is alkalmazásra kerülhetnek, mivel gyors beavatkozást tehetnek lehetővé az esetleges vírussal történő érintkezés könnyebb és automatizált felderíthetősége révén. Az Európai Bizottság által a korlátozó intézkedések koordinált feloldására javaslatot tévő anyag ("Joint European Roadmap towards lifting COVID-19 containment measures") is külön kitér arra, hogy a korlátozások feloldásához szükséges eszköztár része lehet a koronavírussal való kapcsolat nyomon követésére szolgáló applikáció (lásd különösen 7-8. o.). A Bizottság április 8-i ajánlása ("Commission Recommendation on a common Union toolbox for the use of technology and data to combat and exit from the COVID-19 crisis, in particular concerning mobile applications and the use of anonymised mobility data") pedig külön részt szentel a mobil applikációknak, kitérve az adatvédelmi követelmények kiemelt jelentőségére (lásd különösen 9-11.o.). A Bizottság kiemelt célja, hogy pán-európai megoldásokat keressen és a tagállamok törekvéseit a lehetőségekhez képest összehangolja, beleértve a mobil applikációk fejlesztését és alkalmazását is. Az EU-s elvárások részletese összefoglalását tartalmazza az eHealth Network keretében, a tagállamok számára összeállított anyag is, amely különböző eszközöket és megoldásokat gyűjt össze és kínál az applikációk fejlesztéséhez ("Mobile applications to support contact tracing in the EU’s fight against COVID-19 - Common EU Toolbox for Member States")  (Pán-európai fejlesztésre példa a PEPP-PT projekt.)

Az Európai Adatvédelmi Testület, amely már korábban is adott ki állásfoglalást a koronavírus elleni küzdelem adatvédelmi vonatkozásai kapcsán, április 14-én a Bizottság megkeresése kapcsán írt levelében ad további szempontokat az adatvédelmi szempontból is megfelelő applikációk fejlesztéséhez. A vélemény főbb megállapításait az alábbiakban foglalom össze.

1. Az Európai Adatvédelmi Testület (EAT) üdvözölte a pán-európai megközelítést. 
2. A különböző megoldásokat, fejlesztéseket esetről-esetre kell vizsgálni, a részletes technikai paraméterekre figyelemmel, az illetékes adatvédelmi hatóságokkal konzultálva.
3. A fejlesztés során figyelemmel kell lenni az elszámoltathatóság elvére, dokumentálni kell a megtett intézkedéseket, adatvédelmi hatásvizsgálatot kell végezni, bemutatva a beépített és alapértelmezett adatvédelem elveinek érvényesülését.   
4. A forráskódot - a széleskörű ellenőrizhetőség érdekében - közzé kell tenni. 
5. Ezek az app-ok akkor lehetnek hatásosak, ha minél többen letöltik és használják ezeket. Ennek érdekében az EAT véleménye szerint, kerülni kell az app-ok funkcionalitásának heterogenitását, az interoperabilitás hiányát.
6. Az EAT hangsúlyozza, hogy az applikációk használatának önkéntesnek kellene lennie, amely egyrészt a közösségi felelősségvállalás, másrészt a bizalom erősítése szempontjából is fontos lenne. 
7. A hatóságok általi adatkezelés jogalapja - az önkéntes letöltés és használat lehetősége mellett - nem a hozzájárulás lenne, hanem közérdekű adatkezelés keretében történhetne (GDPR 6. cikk (1) bekezdés e) pont). 
8. Az érintettek vírussal történő kapcsolatba kerülését nyomon követő app-ok esetében nem szükséges a helymeghatározási adatok kezelése. Az egyének mozgásának nyomon követése a cél elérése szempontjából nem releváns.   
9. Egészségügyi hatóságok és szakemberek bevonásával kell meghatározni azokat az eseményeket, amelyek esetében az információmegosztásra sor kell, hogy kerüljön. Lényeges az is, hogy az adatokat magán az eszközön vagy egy központi helyen tárolják-e. Az EAT álláspontja szerint mindkét megoldás elfogadható lehet megfelelő adatbiztonsági intézkedések mellett, de a decentralizált tárolás felel meg inkább az adattakarékosság elvének.  
10. Az app-on keresztüli értesítéseknek megbízhatónak kell lenniük, így el kell kerülni a téves riasztásokat. Megfelelő mechanizmusnak kell biztosítania azt, hogy valóban csak olyankor kerüljön sor riasztásra, amikor az indokolt és megalapozott. 
11. Az EAT javaslata alapján az érintettek azonosítására alkalmas adatok tárolását kerülni kell, illetve ezeket a lehető legrövidebb idpn belül törölni kell. 
12. Az EAT támogatja azt a megközelítést, hogy a veszélyhelyzetet követően az app működtetése megszüntetésre kerüljön és az adatokat töröljék vagy anonimizálják. 

A fenti vélemény nem az utolsó állásfoglalás, amit a témában az EAT-tól látni fogunk, már most is folyamatban van egy iránymutatás elkészítése, amely a helymeghatározási adatok és más megfigyelésre alkalmas technológiák COVID-19 járvánnyal összefüggő alkalmazásával foglalkozik.  

Frissítés (2020.05.11.): Az MIT Technology Review gyűjtése a kontakt kutatást segítő applikációkról (MIT Technology Review Covid Tracing Tracker), országok szerinti bontásban elérhető itt.